画像からマルウェアに感染、請求書などを装った添付Excelファイルに注意

バンキングマルウェアに感染させるExcelファイルが添付されたメール

　画像ファイルにPowerShellスクリプトを埋め込み、マルウェアに感染させるメールが10月24日以降に拡散したとして、キヤノンITソリューションズ株式会社（キヤノンITS）が注意を促している。

　キヤノンITSが公開した10月のマルウェア検出レポートによれば、同メールに添付されたExcelファイルはダウンローダーとして機能し、最終的に画像へのデータ隠蔽技術を悪用したバンキングマルウェアをダウンロードするという。

メールに添付されていたExcelファイルの内容

　Excelファイルを開き「コンテンツの有効化」をクリックすると、マクロが実行されていったんコマンドプロンプトが起動する。その後、コマンドを実行することで、C&Cサーバーから画像をダウンロード。画像解析後に埋め込まれたPowerShellスクリプトがバンキングマルウェアをダウンロード／実行する。

　この画像には、データ隠蔽技術である「ステガノグラフィー」という手法が用いられており、画像ファイルとしてダウンロードさせることで、アンチウイルス製品の検出・解析を回避しようとするもの。

マクロ実行後の主な流れ

実行するコマンド。PowerShellの起動やC&Cサーバーから画像をダウンロード

　画像は一見するとプリンターのイラストに見えるが、PowerShellスクリプトが埋め込まれている。スクリプトは難読化されており、中身はC&Cサーバーにある別のマルウェアをダウンロードするようになっている。このスクリプトが実行されることで、バンキングマルウェアである「Bebloh」や「Ursnif」に感染する。

ステガノグラフィーが用いられた画像のスクリーンショット

　なお、このメールに使用されていた件名は以下の通り。

• 申請書類の提出
• 請求データ送付します
• 注文書の件
• 納品書フォーマットの送付
• 立替金報告書の件です。

　不審なメールを安易に開かないことに加えて、添付されたExcelファイルのマクロを実行しないなどの対策が必要になる。